1. solarsecurity.ru +7 (499) 755-07-70
Константин Бельцов
CISA, CISM
Руководитель направления Solar inView
18 декабря 2015 г.
Solar inView:
Безопасность под
контролем
2. solarsecurity.ru +7 (499) 755-07-70
Solar Security – информация о компании
2
Компания Solar Security основана компанией «Инфосистемы Джет» – интегратором
№ 1 по информационной безопасности на коммерческом рынке
Решения Solar Security работают более чем в 30% компаниях из ТОП 100 российского
бизнеса
Solar Security – это команда с двадцатилетним опытом разработки продуктов и
собственная исследовательская лаборатория по анализу и прогнозированию
инцидентов информационной безопасности
3. solarsecurity.ru +7 (499) 755-07-70
Взгляд на современную организацию
с точки зрения ИТ/ИБ
3
Mid- Enterprise-
Законодательство |
Регуляторы
Бизнес |
Заинтересованные Стороны
Внешние | Внутренние
Угрозы
Серверное и сетевое оборудование Распределенные сети (LAN, VLAN) Телефония (VoIP)
Web-приложения Системы хранения данных (SAN) Базы данных
Отказоустойчивые системы
Виртуализация Облачная инфраструктураЗначительное количество АРМ
Удаленный доступ Интернет Wi-Fi
NGFW s IDS/IPSAntivirus | Antispam SIEM
IDM | IAMBackup DLP
UTM
Web-filtrationCrypto
MDM SOCEndpoint Protection Anti-DDoSWAFЗначительное количество средств
и систем защиты информации
ИТ-инфраструктура, технологии
Управляющее воздействие
4. solarsecurity.ru +7 (499) 755-07-70
Основные проблемы ИБ
4
Невозможно (или сложно) сделать выводы
о состоянии ИБ – ХОРОШО/ПЛОХО
Непонятно, что происходит с ИБ в ФИЛИАЛАХ
и как отрабатывают ПОДРЯДЧИКИ?
Сложно проверить достоверность информации,
собранной «ВРУЧНУЮ»
Сложно оценить и продемонстрировать ЭФФЕКТ
от принимаемых мер
5. solarsecurity.ru +7 (499) 755-07-70
Переход от «Проблем» к «Задачам»
5
…DLP
Malware
Defenses
Vulnerability
Management
Network
Security
SIEM
Операционный уровень (мониторинг и реагирование)
Аналитические
модели
Метрики и
показатели
ОтчетностьРиски
Тактический уровень (анализ, выявление связей, планирование, оценка рисков)
Контроль эффективности
Анализ и
прогнозирование
Принятие решений
Стратегический уровень
Нормализация Корреляция
Обогащение
6. solarsecurity.ru +7 (499) 755-07-70 6
Solar inView – система разноуровневой
аналитики и визуализации, которая помогает
принимать управленческие решения
7. solarsecurity.ru +7 (499) 755-07-70
SolarinView–уровниреализации
7
• Принятие стратегических
решений
• Достижение нужд бизнеса
• Анализ и прогнозирование
• Аналитические дашборды
• Метрики, Показатели, Риски
• Smart фильтры, Сквозная
аналитика
• Аналитический «движок»
• Коннекторы к СЗИ
• Обогащение и корреляция
данных
Core
Analytics
Reporting
8. solarsecurity.ru +7 (499) 755-07-70
Основные кейсы использования
Solar inView
8
Централизованный мониторинг ИБ
Поддержка принятия решений в области ИБ
Оценка эффективности и результативности ИБ
Контроль сотрудников и бизнес систем
Контроль выполнения требований ИБ
9. solarsecurity.ru +7 (499) 755-07-70
Кейс 1: Централизованный мониторинг ИБ
9
Задача: контролировать уровень ИБ и выполнение требований ИБ
в территориально-распределенных структурах
Дано: много подразделений, есть свои СЗИ, мало людей на местах, отчетность
«вручную»
Решение: в едином интерфейсе можно увидеть состояние ИБ в ГО и в любом
удаленном подразделении на основании объективных данных от СЗИ
10. solarsecurity.ru +7 (499) 755-07-70
Подразделение 1 Подразделение N…
Центральный аппарат
Кейс 1: Централизованный мониторинг ИБ
10
13. solarsecurity.ru +7 (499) 755-07-70
Кейс 2: Метрики ИБ, мониторинг
эффективности ИБ
13
Задача: своевременно предоставлять руководству текущее состояние ИБ, а также
отчеты о том, как за определенный период изменилось состояние ИБ, насколько
внедряемые или уже внедренные меры соответствуют их ожиданиям
Дано: сотрудники службы ИБ должны регулярно отчитываться перед руководством
Решение: в inView представлены не только технические, но и высокоуровневые
показатели, которые могут быть интересны и понятны высшему руководству
14. solarsecurity.ru +7 (499) 755-07-70
Кейс 2: Метрики ИБ, мониторинг
результативности и эффективности ИБ
14
Степень эффективности
управления инцидентами
Степень защищенности
ресурсов
…
Степень уязвимости
ресурсов
Степень защищенности
активов от вредоносного ПО
% хостов с активным
антивирусным ПО
% устраненного
вредоносного ПО
…
% хостов с критичными
уязвимостями
Среднее время устранения
критичных уязвимостей
…
% критичных инцидентов в
единицу времени
% инцидентов, не
разрешенных вовремя
…
«Сырые»данныеотисточников
Показатели 1 уровня Показатели 2 уровня Показатели 3 уровня
Степень соответствия
бизнес целям
Эффективность
внедренных мер
17. solarsecurity.ru +7 (499) 755-07-70
Кейс 3: Контроль соблюдения
сотрудниками требований ИБ
17
Задача: контроль лояльности сотрудников в части ИБ, использования рабочего
времени
Дано: набор систем, которые контролируют действия пользователей с точки
зрения ИБ: DLP, web-фильтры, СКУД, СЗИ от НСД и т.д.
Решение: inView позволяет формировать карточки сотрудников по информации
от СЗИ и кадровых систем, и контролировать их действия
19. solarsecurity.ru +7 (499) 755-07-70
Кейс 4: Контроль соответствия
требованиям по ИБ
19
Задача: быстро формировать отчеты по выполнению требований ИБ: внутренних
и внешних
Дано: требований по ИБ много (152-ФЗ, СТР-К, ISO 27001, требования регуляторов
и т.д.) и нужно отчитываться об их выполнении
Решение: inView позволяет отображать степень и детали выполнения требований
ИБ, автоматически готовить отчеты в требуемом формате
ISO 27001 152-ФЗ
PCI DSS 382-П СТО БР ИББС
22. solarsecurity.ru +7 (499) 755-07-70
Как устроен продукт – коннекторы
к источникам данных
22
DLP
SIEM
Web-фильтрация
Antivirus
Защита web-
приложенийЗащита БД
Защита каналов
Сканер
защищенности
Сетевая защита
Защита от утечек через
съемные носители
ITSM
Любая иная система
23. solarsecurity.ru +7 (499) 755-07-70
Solar inView: выгоды от внедрения
23
Для подразделения ИБ/ИТ
Оперативный контроль состояния ИБ/ИТ
Определение узких мест и отклонений в функционировании мер обеспечения
ИБ/ИТ, причин их возникновения, планирование мероприятий по их устранению
Наглядная демонстрация руководству результатов своей работы
Быстрое, своевременное и точное принятие решений в области ИБ
Прогнозирование возможных проблем в предоставлении сервисов ИБ/ИТ
Сокращение трудозатрат на формирование отчетности
24. solarsecurity.ru +7 (499) 755-07-70
Solar inView: выгоды от внедрения
24
Для представителей руководства
Более точное и целевое распределение ресурсов
(как финансовых, так и человеческих) на наиболее важные задачи ИБ/ИТ
Общее понимание текущего состояния защищенности компании, филиалов,
удаленных подразделений
Измеримость работы системы информационной безопасности в целом и
подразделений ИБ в частности
Компания Solar Security основана компанией «Инфосистемы Джет» – интегратором № 1 по информационной безопасности на коммерческом рынке;
За последние три года наша команда создала JSOC – первого российского MSSP-провайдера, и выпустила первый российский продукт класса Security Intelligence – Solar inView;
Еще 15 лет назад, в 2000 году, мы стали пионерами в разработке нового класса решений, выпустив первую российскую DLP-систему – «Дозор-Джет»;
Решения Solar Security работают более чем в 30% компаниях из ТОП 100 российского бизнеса;
Специалисты Solar Security обладают уникальными компетенциями, основанными на реализации более чем 2 000 проектов по ИБ;
Исследовательская лаборатория Solar CyberSecurity Team в год анализирует более 150 тысяч внутренних и внешних инцидентов информационной безопасности.
Повсеместная информатизация, развитие технологий привело к значительному увеличению ИТ, средств и систем защиты информации, которые внедрены в большинстве организаций.
Все увеличивающийся состав и сложность средств защиты информации в рамках постоянно изменяющегося ландшафта угроз предполагает непрерывное отслеживание и мониторинг возникающих угроз и выявление скрытых аномалий. Возрастающие нагрузки на ИТ/ИБ специалистов, в части отслеживания и поддержания работоспособности всех внедренных средств и систем подкрепляются еще и внутренними/внешними управляющими воздействиями:
- бизнес-подразделениями, которые хотят получать прозрачные услуги ИТ/ИБ и достаточный уровень сервиса;
- заинтересованные стороны, которые хотят видеть реальную отдачу от инвестиций в ИБ, реальную картину состояния защищенности, конкретные показатели эффективности.
- постоянно изменяющееся законодательство и подзаконные акты, требования регуляторов в части ИБ, которые необходимо отслеживать и закрывать организационными и техническими мероприятиями;
- внутренние и внешние угрозы, которые необходимо отслеживать, предупреждать и своевременно реагировать.
Все это выражается в проблемах руководителей и специалистов ИБ, представленных на следующем слайде (см. сл. слайд)
С одной стороны представленные проблемы являются банальными, а с другой – оказывают более чем значительное влияние на работу руководителей и специалистов по ИБ в целом.
Например, даже при обилии всевозможных систем обеспечения ИБ можно столкнуться с:
Трудностью получения «целостной картинки» о состоянии ИБ
В территориально распределенных структурах достаточно сложно осуществлять централизованный контроль по ИБ
Сложность поведенческого анализа пользователей и систем
И вопрос необходимости демонстрации эффективности деятельности по ИБ бизнесу тоже никто не отменял.
По сути, все упирается в аналитику тех данных, которые предоставляют процессы и системы обеспечения ИБ. И не всегда эти задачи легко решить.
Почему они так сложны – как правило, подразделения ИБ насчитывают не так уж много сотрудников, которые сильно загружены, разные средства ИБ
предоставляют информацию в своем формате (необходимо быть специалистом по каждому из средств, чтобы анализировать информацию, которую они выдают).
Помимо этих проблем, для разных уровней заинтересованных сторон, данные о безопасности должны представляться различным способом.
Если мы говорим про специалистов подразделения ИБ, то это должна быть достаточно техническая информация, содержащая детальную информацию по тому, что происходит в процессах ИБ. Например, для целей расследования инцидентов необходимо быстро понять, что происходит по тем данным которые отдают системы безопасности.
Если мы говорим про руководителя подразделения ИБ, то ему необходимо понимать общую картинку того, что происходит в подразделении и на стыках со смежными подразделениями (например, с ИТ), с возможностью опуститься ниже и понять, в чем причина тех или иных отклонений.
Если мы говорим про руководство, то уровень абстракции должен быть еще выше. Это рассчитанные метрики эффективности, прогнозы в части ИБ.
Что мы предлагаем? На основе опыта использования BI в проектах по ИБ, анализа задач и проблем подразделений ИБ, мы предлагаем систему аналитики и поддержки принятия решений Solar inView, которая позволяет дать руководителям подразделений ИБ и их подчиненным гибкий и быстрый инструмент для получения данных о состоянии ИБ, что называется, в одном окне.
Помимо этих проблем, для разных уровней заинтересованных сторон, данные о безопасности должны представляться различным способом.
Если мы говорим про специалистов подразделения ИБ, то это должна быть достаточно техническая информация, содержащая детальную информацию по тому, что происходит в процессах ИБ. Например, для целей расследования инцидентов необходимо быстро понять, что происходит по тем данным которые отдают системы безопасности.
Если мы говорим про руководителя подразделения ИБ, то ему необходимо понимать общую картинку того, что происходит в подразделении и на стыках со смежными подразделениями (например, с ИТ), с возможностью опуститься ниже и понять, в чем причина тех или иных отклонений.
Если мы говорим про руководство, то уровень абстракции должен быть еще выше. Это рассчитанные метрики эффективности, прогнозы в части ИБ.
Solar inView позволяет решить следующие задачи:
Централизованный контроль деятельности по ИБ (в том числе, в удаленных филиалах) – за счет того, что мы подключаемся непосредственно к системам безопасности, мы получаем актуальные и объективные данные о работе ИБ. Мы можем учитывать данные из филиалов и собирать их все в центре для всестороннего анализа и единого понимания «картины» ИБ.
Оценка результативности и эффективности подразделения ИБ – за счет того, что мы в автоматическом режиме получаем данные от систем безопасности, мы можем в автоматическом же режиме осуществлять оценку показателей эффективности ИБ, что весьма проблематично или невозможно в ручном режиме.
Определение реального уровня защищенности бизнес-систем с учетом актуальных угроз и уязвимостей – за счет того, что мы можем группировать данные, мы можем осуществлять анализ того, из каких объектов инфраструктуры реально состоят бизнес-системы, провести анализ актуальных угроз для них, и учитывать критичность уязвимостей и угроз уже на уровне бизнес-систем, а не объектов инфраструктуры.
Поведенческий анализ работы систем и пользователей – мы получаем возможность сделать профили нормального поведения систем или пользователей, отслеживать отклонения в поведении и анализировать их. В том числе, это позволит нам предотвращать инциденты ИБ или перехватывать их в самом зародыше.
Как отслеживать, что происходит в удаленных подразделениях?
Какой реальный уровень защищенности информационных активов на удаленных площадках?
Выполняются ли в удаленных подразделениях требования спускающиеся с центрального аппарата?
Насколько соответствует ситуация с защищенностью активов отчетным материалам, которые присылают из удаленных подразделений?
Информация со всех удаленных подразделений может быть агрегирована и централизована в одном месте (или нескольких местах, в зависимости от иерархии организации). Таким образом руководитель по ИБ (или руководитель бизнеса) из Центрального аппарата может в «пару кликов» посмотреть текущую ситуацию с защищенностью активов, провести необходимую аналитику, выявить слабые и сильные стороны системы обеспечения и управления информационной безопасностью, сформировать необходимые отчеты для руководства, назначить и начать отслеживать выполнение поручений, связанных с внесением корректирующих мероприятий.
Ситуационный центр по ИБ позволяет в «реальном» времени:
отслеживать состояние защищенности выбранных удаленных подразделений, отслеживать;
Наблюдать выбранные и необходимые показатели (метрики), например, «Степень защищенности активов компании», «Полнота системы защиты», «Эффективность процессов ИБ» и др.
Переходить на вкладку конкретного филиала и отслеживать более низкоуровневые показатели (управление уязвимостями, инциденты ИБ, контроль ПО, мониторинг электронной почты и т.п.)
Ситуационный центр по ИБ позволяет в «реальном» времени:
отслеживать состояние защищенности выбранных удаленных подразделений, отслеживать;
Наблюдать выбранные и необходимые показатели (метрики), например, «Степень защищенности активов компании», «Полнота системы защиты», «Эффективность процессов ИБ» и др.
Переходить на вкладку конкретного филиала и отслеживать более низкоуровневые показатели (управление уязвимостями, инциденты ИБ, контроль ПО, мониторинг электронной почты и т.п.)
Непрозрачность ИБ для бизнеса влечет за собой проблемы как для руководства компаний (вопрос отдачи от вложенных в безопасность средств), так и для руководителей подразделений ИБ (сложности в демонстрации отдачи от деятельности ИБ, эффекта от вложенных в ИБ средств). В связи с этим актуальным является создание иерархии показателей результативности и эффективности ИБ (от бизнес-метрик до технических показателей).
В основу модели мониторинга эффективности ИБ в Solar inView закладывается многоуровневая иерархия показателей результативности и эффективности ИБ. Каждый уровень иерархии показателей результативности и эффективности ИБ предназначен для специалистов разных уровней подчиненности (например, бизнес-руководитель, руководитель подразделения ИБ, специалист по ИБ). По мере снижения уровня показателя в иерархии детализация получаемой информации возрастает, т.е. снижается степень абстракции информации.
Показатели эффективности и результативности информационной безопасности.
Показатели эффективности и результативности информационной безопасности.
Отслеживание истории изменения данных показателей.
Карточка сотрудника/системы позволяет без труда оценить отклонения в поведении пользователя/системы, фиксируемые различными средствами защиты информации, от профиля нормального поведения.
Требований по ИБ довольно много (152-ФЗ, СТР-К, ISO 27001, требования регуляторов и т.д.) – нужно отчитываться об их выполнении. Многие из требований повторяются, отслеживать каждое требование в отдельном документе довольно проблематично, подготовить отчет по всем требованиям, исходя из текущего состояния, задача еще более сложная.
Solar inView позволяет объединить информацию обо всех технических требованиях в систему и в рамках «единого окна» отслеживать их выполнение.
Наше решение подразумевает 3 основных уровня:
Сбор данных по безопасности: сбор из систем обеспечения ИБ, бизнес-систем, кадровых систем, любой дополнительной отчетности, которая ведется в рамках подразделений ИТ и ИБ.
Анализ и преобразование данных: связывание данных из разных источников по общим признакам, агрегация данных (например, объединение сотрудников по подразделениям), разработка формул расчета показателей и параметров представления данных.
Представление данных: непосредственно аналитические модели и показатели эффективности ИБ, которые позволяют осуществлять сквозной поиск по тем данным, которые есть в подразделении ИБ.
Технологически наша система состоит ровно из тех же элементов, которые я уже озвучила: это коннекторы к системам обеспечения ИБ, бизнес-системам, кадровым системам и другой отчетности, это аналитический движок и аналитические панели, которые позволяют как раз реализовать идею безопасности в одном окне с учетом уровня абстракции представляемых данных для пользователей разного уровня.
За счет такой структуры система обладает богатыми возможностями по аналитике данных в области ИБ и позволяет:
Осуществлять интеграцию с системами обеспечения ИБ, бизнес-системами, дополнительной отчетностью
Связывать данные от источников данных по общим признакам
Проводить аналитику по различным срезам данных – вплоть до конкретных транзакций с возможностью анализа их «окружения»
Автоматизировать оповещения в случае превышения пороговых значений
Автоматически формировать отчеты по шаблонам
Если говорить про возможности интеграции, то на настоящий момент разработано около 30 коннекторов к системам безопасности. Все решения, представленные на рынке, мы разделили на группы – например, SIEM, DLP, Av и т.д. В каждом из классов мы выделили лидеров рынка (на основе данных о том, что чаще всего используется нашими заказчиками) и реализовали коннекторы к этим системам.
Если вдруг будет идти речь про нетиповое решение в области ИБ, или какие-то смежные системы (например, кадровые, самописные системы) мы также можем с ними интегрироваться за счет того, что можно обеспечить взаимодействие с базой данных или через выгрузки и отчеты.
На слайде представлены не все решения, к которым есть стандартные коннекторы, по запросу, можем предоставить полный перечень.